Usar un cliente ACME de terceros para automatizaciones de host
Con CertCentral, puede usar su cliente ACME de terceros preferido para automatizar las implementaciones de certificados y reducir su sobrecarga de administración de TLS.
El soporte de ACME de CertCentral le permite automatizar los certificados OV y EV públicos y privados para implementaciones de corta validez o multianuales. Admitimos la opción de perfil del certificado de intercambio firmado de HTTP para que pueda automatizar sus implementaciones de certificados de intercambio firmado de HTTP (consulte URL del directorio ACME para certificados de Intercambio firmado de HTTP).
Comparación con la automatización administrada de CertCentral
La automatización administrada de CertCentral es la solución de automatización lista para ser usada. Le permite administrar todas sus automatizaciones desde la consola web de CertCentral e incluye características para garantizar que ACME y otros componentes de software siempre estén actualizados.
Cuando usa un cliente ACME de terceros, está trabajando fuera de la solución de automatización administrada. Obtiene credenciales básicas de CertCentral para adquirir certificados, pero debe instalar y mantener su propio software de ACME e iniciar acciones de automatización a nivel local en cada uno de sus sistemas.
Aviso
Para usar la solución de automatización administrada de CertCentral, debe habilitarla para su cuenta. Si la automatización administrada no está habilitada, solo verá las URL de directorios ACME y las claves API enumeradas en el menú de Automatización de CertCentral.
Para clientes ACME de terceros, usará la función de URL de directorios ACME para configurar opciones de automatización y obtener las credenciales necesarias para adquirir certificados DigiCert.
Antes de comenzar
Antes de comenzar, asegúrese de satisfacer estos requisitos previos:
Habilitar aprobaciones automáticas de solicitudes de certificados para su cuenta de CertCentral.
Validar previamente los dominios y organizaciones para los que quiere obtener certificados, lo que es necesario para la emisión de certificados instantánea.
Aviso
CertCentral handles all validation checks itself, independent of the ACME protocol. The FQDN must be prevalidated in the CertCentral platform and be active and within the validation reuse period.
During an ACME automation event, no authorization is performed by the ACME protocol itself even though requested. All authorization checks are performed out of band by CertCentral's enterprise registration authority (RA) services.
Flujo de trabajo
El siguiente es el flujo de trabajo general necesario para automatizar los certificados DigiCert con un cliente ACME de terceros:
Instalar el software cliente ACME de terceros
Descargue el software ACME desde el tercero proveedor e instálelo en cualquier sistema que actuará como clientes de automatización.
Configurar los clientes ACME de terceros
Siga las pautas del proveedor de terceros para configurar el software ACME instalado en cada sistema.
Crear una o más URL de directorios ACME
Defina las automatizaciones de ACME de terceros permitidas desde el menú de URL de directorios ACME de CertCentral.
Iniciar eventos de automatización
Por último, siga las pautas del tercero proveedor y use las credenciales obtenidas del menú de URL de directorios ACME para iniciar los eventos de automatización de certificados en los clientes ACME.
Instalar el software cliente ACME de terceros
Puede usar cualquier cliente de automatización de terceros que admita el protocolo ACME estándar de la industria para adquirir certificados desde CertCentral. Por ejemplo, consulte Certbot de EFF.
Siga las pautas del proveedor de software para descargar e instalar el cliente ACME de terceros. Por ejemplo, EFF proporciona una guía de instalación para su software Certbot.
Debe instalar el software cliente de ACME por separado en cada sistema que ejecutará las automatizaciones de certificados.
Configurar los clientes ACME de terceros
Configurar el software cliente de ACME de terceros por separado en cada sistema que ejecutará las automatizaciones.
Siga las pautas del proveedor del software para determinar los parámetros de configuración requeridos. Asegúrese que cada cliente de ACME pueda hacer lo siguiente:
Realizar una conexión saliente con HTTPS (puerto 443).
Realizar una conexión saliente con la dirección IP pública 216.168.244.42 (para
acme.digicert.com).Resolver los nombres de dominio completo (FQDN) para el servidor local, ya sea a través de DNS o de un archivo de "hosts" local.
Crear una o más URL de directorios ACME
Use la función URL de directorios ACME DE CertCentral para configurar opciones de automatización y obtener las credenciales necesarias para que su cliente ACME preferido se comunique con la nube de DigiCert:
En la cuenta de CertCentral, en el menú principal izquierdo, seleccione Automatización > URL de directorios ACME.
Desde la vista URL de directorios ACME Agregar URL de directorio ACME.
En la ventana emergente Agregar URL del directorio ACME, ingrese un Nombre que sea fácil de identificar para la URL.
En el menú desplegable Producto, seleccione el tipo de certificado que desea emitir.
En el menú desplegable División, seleccione una división para asociar con los certificados emitidos desde esta URL de directorio ACME.
En la lista desplegable Organización, seleccione la organización previamente validada para los certificados emitidos.
Seleccione el Período de validez para los certificados emitidos desde esta URL de directorio ACME:
Para cuentas multianuales solamente, primero seleccione su Duración de la cobertura multianual desde la lista desplegable.
Seleccione la opción Período de validez del certificado deseado.
Para un período de validez de Duración personalizada, ingrese el número deseado de Días.
(Opcional) Para habilitar la opción de perfil de certificado de intercambio HTTP firmado, expanda Opciones adicionales de certificados y seleccione Incluya la extensión CanSignHttpExchanges en el certificado. Para obtener más detalles sobre esta opción, consulte URL del directorio ACME para certificados de Intercambio firmado de HTTP.
Seleccione Agregar URL del directorio ACME.
En la ventana emergente Nueva URL del Directorio de ACME, copie su URL única de ACME junto con la información de enlace de cuenta externa y guárdela.
Esta información se requiere para que su cliente ACME adquiera certificados de CertCentral. Solo se muestra una vez.
Después de copiarla y guardarla en algún lugar seguro, seleccione Comprendo que no la veré nuevamente para descartarla.
Su nueva URL del directorio ACME se agrega a la lista de URL en la página de directorios ACME.
For details about certificates issued via the ACME URL, select the information icon next to the URL Description.
To revoke the ACME URL credentials, select the Revoke link on the right.
Aviso
Store your ACME URL credentials in a secure location to prevent malicious actors from issuing certificates for your prevalidated domains.
If you ever lose your ACME URL credentials or suspect they have been compromised, revoke the existing ACME URL immediately and then create a new ACME URL to use.
When you revoke an ACME URL, the old credentials get permanently disabled and can no longer be used by any ACME clients to request certificates.
Iniciar eventos de automatización
Con su cliente ACME de terceros preferido instalado y configurado, y una URL de directorio ACME definida para ello en CertCentral, puede comenzar a usar el cliente ACME para adquirir certificados DigiCert.
Para clientes ACME de terceros, las acciones de automatización se deben iniciar a nivel local en cada sistema. Siga las pautas del proveedor de software y use las credenciales obtenidas desde la URL de directorio ACME que configuró en CertCentral.
Para ejemplos sobre cómo iniciar acciones de automatización con el cliente Certbot de EFF, consulte Ejemplos de automatización con clientes ACME de terceros.